Acometer contra un ERP con Software Libre

Autores/as

  • Esteban Crespo Universidad de Azuay https://orcid.org/0000-0002-3061-9045
  • Fabian Carvajal Universidad del Azuay
  • Catalina Astudillo Universidad del Azuay
  • Marcos Orellana Universidad del Azuay
  • Rosalva Vintimilla Universidad del Azuay
  • Juan Pablo Carvallo Universidad del Azuay

DOI:

https://doi.org/10.29019/enfoqueute.v9n1.253

Palabras clave:

Pentesting, Seguridad TI, Hacking, ERP, APEX

Resumen

La seguridad de la información es una preocupación creciente en empresas y organizaciones, siendo más alta aun cuando se vincula a plataformas financieras donde existe información sensible. Este artículo resume las técnicas utilizadas en el pentesting realizado al software ERP desarrollado en APEX 5 por la Universidad del Azuay; para ello se han contemplado seis etapas que sugiere una prueba de penetración: i) la conceptualización, donde se define el alcance de las pruebas a realizar; ii) la preparación del laboratorio, en la que se identifican algunas de las herramientas que servirán para el inicio de las pruebas de seguridad; iii) la obtención de información, donde se hace el reconocimiento y escaneo de posibles objetivos que posteriormente serán explorados con mayor profundidad para identificar características intrínsecas que puedan ser aprovechadas; iv) el análisis de las vulnerabilidades encontradas en la etapa anterior; v) la explotación de vulnerabilidades; y vi) la post explotación, etapa que contempla la destrucción de evidencias del ataque y la conservación de la conexión y los accesos logrados para extraer información. Todas estas etapas fueron efectuadas dentro de las instalaciones de la Universidad del Azuay, considerando el ambiente de desarrollo en el que actualmente se encuentra este software.

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Alcides, G. (2009). Seguridad informática. Antioquía, Colombia: Universidad de Antioquía.
Caballero, A. (2015). Hacking con Kali Linux. Lima.
Chakrabarti, S., Chakraborty, M., & Mukhopadhyay, I. (2010). Study of snort-based IDS. ACM, 43-47.
Crespo, E. (15 de 01 de 2017). ECU@Risk. Metodología de Seguridad de la información para la gestión del riesgo informático aplicable a MPYMES. Cuenca, Azuay, Ecuador.
Gallo, F. (2011). Inseguridad Informática. España.
Hernández, A. (2007). Fuzzing para pruebas de seguridad en software. brainoverflow.org.
Mansoor, A., Muthuprasanna, M., & Vijay, K. (2006). High Speed Pattern Matching for Network IDS/IPS. IEEE Xplore.
Microsoft. (2017). SDL Threat Modeling Tool. Obtenido de https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx
NMAP. (19 de 04 de 2017). Resumen de Opciones. Obtenido de https://nmap.org/man/es/man-briefoptions.html
Rocha, L. (29 de Mayo de 2014). Count Upon Security. Obtenido de Incident Handling and Hacker Techniques: https://countuponsecurity.com/2014/05/29/simple-and-practical-attack-part-2/
Security, O. (2017). Kali Tools. Recuperado el 31 de 07 de 2017, de https://tools.kali.org/tools-listing
Spendolini, S. (2016). Expert Oracle Application Express Security. Apress.
Stallman, R. (2004). Software libre para una sociedad libre. Madrid: Traficantes de sueños.
The OWASP Project. (2017). OWASP Testing Guide 4.0. N/E: The OWASP Project.
UNAM-CERT. (25 de Mayo de 2016). Aspectos Básicos de la Seguridad en Aplicaciones Web. Recuperado el 14 de 07 de 2017, de https://www.seguridad.unam.mx/historico/documento/index.html-id=17
University of Adelaide. (2015). The Risk Management Handbook. Sydney: Legal and risk.
Weidman, G. (2014). Penetration Testing, A Hands-On Introduction to Hacking (1). EEUU: No Starch Press.

Descargas

Publicado

2018-03-30

Cómo citar

Crespo, E., Carvajal, F., Astudillo, C., Orellana, M., Vintimilla, R., & Carvallo, J. P. (2018). Acometer contra un ERP con Software Libre. Enfoque UTE, 9(1), pp. 138 – 148. https://doi.org/10.29019/enfoqueute.v9n1.253

Número

Vol. 9 Núm. 1 (2018)

Sección

Informática, TIC

Licencia

Los artículos e investigaciones publicadas por la Universidad UTE, se realizan en régimen de Acceso Abierto [Open Access] en formato electrónico. Esto significa que todo el contenido está disponible de forma gratuita sin costo para el usuario o su institución. Los usuarios pueden leer, descargar, copiar, distribuir, imprimir, buscar o enlazar los textos completos de los artículos, o usarlos para cualquier otro propósito legal, sin necesidad de pedir permiso previo al editor o al autor. Esto está de acuerdo con la definición de acceso abierto de la Iniciativa de Acceso Abierto de Budapest (BOAI). Al enviar un artículo a cualquiera de las revistas científicas de la Universidad UTE, el o los autores aceptan estas condiciones.

La UTE aplica la licencia Creative Commons Attribution (CC-BY) a los artículos de sus revistas científicas. En virtud de esta licencia de acceso abierto, como autor usted acuerda que cualquier persona puede reutilizar su artículo en su totalidad o en parte para cualquier propósito, de forma gratuita, incluso para fines comerciales. Cualquiera puede copiar, distribuir o reutilizar el contenido siempre y cuando el autor y la fuente original estén correctamente citados. Esto facilita la libertad de reutilización y también asegura que el contenido pueda ser extraído sin barreras para necesidades de investigación.

 

Esta obra está bajo una Creative Commons Attribution 3.0 International (CC BY 3.0).

 

Además, la Revista Enfoque UTE garantiza y declara que los autores conservan siempre todos los derechos de autor y todos los derechos de publicación sin restricciones [© Los Autores].  El reconocimiento (BY) permite cualquier explotación de la obra, incluyendo una finalidad comercial, así como la creación de obras derivadas, la distribución de las cuales también está permitida sin ninguna restricción.